Day: April 7, 2014

Snmp security

2014-04-07

Par défaut, une communauté IMLI est activée sur les routeurs. Elle est non protégé et permet donc de récupérer une minimum d’information sur le type d’équipement.

De la même manière lorsque vous activez une communauté en v2, il y a une v1 d’activer. Pour vérifier cela il suffit d’utiliser la commande suivante :

R1#sh snmp group
groupname: ILMI security model:v1
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active<
groupname: ILMI security model:v2c
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active
groupname: public security model:v1
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active
groupname: public security model:v2c
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active

Voici la running configuration :

R1#sh run | i snmp
snmp-server community public RO
snmp-server enable traps tty

Pour supprimer ce qui ne nous sert pas :

R1(config)#no snmp-server group ILMI v1
 R1(config)#no snmp-server group ILMI v2c
 R1(config)#no snmp-server group public v1
 R1(config)#do sh snmp-server
 R1#sh snmp group
 *Mar 1 00:04:32.203: %SYS-5-CONFIG_I: Configured from console by console
 R1#sh snmp group
 groupname: public security model:v2c
 readview : v1default writeview: <no writeview specified>
 notifyview: <no notifyview specified>
 row status: active

Il est également souhaitable de filtrer par une ACL.

 

Enforcing minimum password length for switches and routers

2014-04-07

Pour obliger a avoir un nombre de caractère minimum pour les users vous pouvez utiliser la commande suivante :

Router(config)#security passwords min-length ?
 <0-16> Minimum length of all user/enable passwords
Router(config)#security passwords min-length 8

Test

Router(config)#username test password toto
% Invalid Password length - must contain 8 to 25 characters. Password configuration failed